Падкантрольны КДБ сайт мае дачыненне да хакерскай атакі на ўкраінскія прадпрыемствы


Інтэрнет-дамен gomelbest.info і прывязаная да яго паштовая скрыня gomel.best@yandex.ru маюць дачыненне да хакерскай атакі на дзяржаўныя ўстановы і аб’екты інфраструктуры Украіны.

У сакавіку гэтага году ўкраінская каманда спецыялістаў па кібербяспецы CyS Centrum апублікавала справаздачу «Мэтавая атака на прадпрыемствы Украіны з выкарыстаннем шкоднай праграмы Ursnif». Са справаздачы вынікае, што 14 сакавіка былі зафіксаваныя хвалі мэтанакіраваных атак, у выніку якіх адбыліся збоі ў працы прадпрыемстваў рачнога і марскога транспарту.

Аўтары атакі выкарыстоўвалі звычайную электронную пошту. З розных паштовых скрыняў на адрасы ахвяраў прыходзілі лісты нібыта ад Дзяржаўнай падатковай службы Украіны. Супрацоўнікі CyS Centrum мяркуюць, што гэта выконвала ролю «прыманкі» і прымушала людзей адкрыць ліст з дакументам. Як толькі карыстальнік адкрываў яго, шкодная праграма прапаноўвала актываваць кантэнт (запусціць макрас) і пасля актывацыі ўбудаваны шкодны код запускаўся сам.

Так выглядаў ліст са шкоднай праграмай. які хакеры дасылалі на ўкраіскія прадпрыемствы

На наступным этапе на кампʼютар запампоўвалася праграма Ursnif. У функцыі Ursnif уваходзіць дыстанцыйнае выконванне розных камандаў, выкраданне інфармацыі і асабістых дадзеных.

Напрыканцы справаздачы спецыялісты прыводзяць няпоўны спіс сайтаў і замацаваных за німі email-адрасоў, так ці інакш звязаных з кібератакай. Большасць з іх – зарэгістраваныя ў Расеі. Але фігуруе ў спісе і gomelbest.info.

Як днямі стала вядома, сайтам gomelbest.info кіруе непасрэдна ўпраўленне КДБ па Гомельскай вобласці. Пра гэта распавёў экс-агент беларускай спецслужбы Сяргей Васільеў, які адміністраваў сайт напрацягу амаль 9 гадоў, а цяпер эміграваў у Польшчу.

Сяргей Васільеў

«Ідэя стварэння сайту належала намесніку старшыні абласнога КДБ Аляксандру Цітову, ён адказваў за змест, а я – за тэхнічнае забеспячэнне», – прызнаўся журналістам Васільеў.

Паводле слоў Васільева, пасля ад’езду ў Польшчу, ён адключыў сайт, але ў КДБ зрабілі копію-люстэрка і рэсурс працягвае дзейнічаць.

Мы запыталі ў Васільева, ці можна дапусціць, што падкантрольны КДБ сайт і паштовая скрыня былі ўзламаныя і толькі потым з іх пачалі атаку.

«Брытанская кампанія VPS.NET, у якой мы набылі сервер, бярэ на сябе абавязак адсочваць усе спробы ўзлому сваіх кліентаў. Калі такая спроба фіксуецца, яе тэрмінова блакуюць. Па гэтым стандарце працуюць усе аналагічныя еўрапейскія і амерыканскія кампаніі. За час маёй працы адміністратарам нас ніколі не ўзламвалі. Сайт заўжды быў вельмі добра абаронены. Нават не ведаю, навошта КДБ магло ўсё гэта спатрэбіцца», – кажа Васільеў.

Мы звярнуліся па каментар да прадстаўніка CyS Centrum, ён пагутарыў з журналістам на ўмовах ананімнасці.

«Мы не ставілі задачу звязаць атаку і тых, хто за ёй стаіць. Публічныя абвінавачванні – не наш стыль. Спецыялісты каманды канцэнтруюцца на тым, каб падвышаць узровень інфармаванасці грамадзян і арганізацый пра кіберпагрозы і выпрацоўваць захады супрацьдзеяння. Але нашых «кібер-ворагаў» мы ведаем і ацэньваем адэкватна. Нават калі канкрэтныя шкодныя мейлы ішлі з іншай паштовай скрыні, гэтая скрыня ўваходзіць у адну інфраструктуру з тым сайтам, пра які вы кажаце. Простымі словамі, ім варта было лепш канспіравацца», – сказаў эксперт.

Апошнім часам Украіна неаднаразова абвінавачвала ў хакерскіх атаках Расею. Сёлета ў траўні агенцтва Reuters напісала, што расейскія хакеры падазраюцца ў атацы на энергасеткі краінаў Балтыі і Украіны. А 16 траўня кіберзлачынцы з Расеі заатакавалі сайт адміністрацыі прэзідэнта Парашэнкі, пра гэта заявіў намеснік старшыні ведамства Дзмітры Шымкіў. Ён падкрэсліў: атака ідзе з рэсурсаў «Вконтате» і «Яндэкс».

Беларусь жа ў гучных кібератаках заўважаная раней не была.

Цяпер «Белсат» накіраваў афіцыйны запыт у Службу бяспекі Украіны і чакаем адказу датычна ролі gomelbest.info у згаданай атацы.

 

Кацярына Андрэева, belsat.eu

Стужка навінаў